لقد واجهتُ نفس المشكلة تمامًا بعد الترقية إلى الإصدار 2.5.0.beta4 (Moved site behind proxy, favicon and header not using https anymore - #7 by rossierd).
هل تمكّنت من حل المشكلة؟ أتخيّل أن الترقية جاءت مع إصدار جديد من nginx (أو إعداداته) مما أدّى إلى هذه المشكلة (ولكن هذا افتراضي بحت ;-))
حاولتُ العثور على طريقة لتعطيل CSRF في nginx (GitHub - gartnera/nginx_csrf_prevent: Prevent CSRF with nginx · GitHub)، لكنني أعتقد أن nginx يجب إعادة تجميعه، ولا أعرف ما إذا كنا بحاجة إلى بيئة التطوير الكاملة لـ Discourse للقيام بذلك.